0.
במהלך שיווקי מבריק, החליטה קוקה-קולה כי צעירים שיבקרו בכפר התוכן השיווקי Coca-Cola Village יקבלו תגי RFID המכילים את כתובת הדואר האלקטרוני שלהם וססמאת הפייסבוק שלהם. מטרת התגים היא לאפשר הפעלת כפתור Like על כל מתקן בו יבקרו הצעירים. התהליך כה חדשני ומהפכני ש"בכירי פייסבוק העולמית" באו ארצה לבדוק את הנושא.
1.
תכירו, קורא כרטיסי RFID ב29.77$. באמצעותו, תוכלו להצמד לצמידי הצעירים בכפר קוקה-קולה, ולהעתיק את שם המשתמש שלהם והססמא בפייסבוק. אם תרצו להשקיע 66.14$, תוכלו לרכוש מערכת לשכפול כרטיסי RFID, וב48.16$ תוכלו לרכוש מכשיר שיכתוב את המידע בעצמכם. אפשר גם ללכת באקסטרים, ולכתוב על התגים שלהם מידע שתרצו שיהיה כתוב. לעזאזל, אתם גם סתם יכולים לאסוף את התגים שיזרקו לפחים אחרי הכפר ולדלות מהם את המידע.
2.
אז מה יש לנו כאן? חברת פרסום שלהוטה להוציא מבצע חדשני, ומתפתה לנהל את ארכיטקטורת המידע שלה בצורה רשלנית (שוב), בלי התחשבות בכללים מסודרים של אבטחת מידע (כפי שהיה בעת הפריצה לאתר הומלס) ובצורה שמאפשרת גניבת זהות כמעט מוחלטת. הסכנות האבטחתיות הן כמובן שכפול של תג הRFID ודליית מידע ממנו.
הבעיה השניה היא גניבה פיסית של תג. הרי מה יוכלו לעשות עם תג שנגנב? כולה יוכלו לעשות לייק על מתקנים אחרים עבורי, לא? לא. ניתן יהיה לקרוא את המידע (בהנחה שהוא באמת מאוחסן בצורה לא מוצפנת) ולקחת את הססמא לחשבון פייסבוק. במצב כזה, המשתמש באמת נמצא בסכנה, ויש הרבה על מה לדאוג.
3.
מה למדנו (שוב)? שמשרדי פרסום צריכים לעבוד עם ייעוץ משפטי צמוד, ושגם אז נהלי אבטחת מידע חייבים להיות מצוינים. שבמקרים בהם מדובר במידע על קטינים (וכן, כל הנוכחים בכפר הם קטינים) חייבת להיות דרך לטפל בבעיות מסוג זה, ושלאחר מכן, צריך לפעול בצורה הגיונית.
4.
למספר דקות חשבתי כמה יפה יותר יהיה הפוסט עם גליון אקסל של אלף ססמאות לפייסבוק, אבל אז נזכרתי שאני לא בן 18 ואין לי דרך להכנס לכפר.
ואם אתם עדיין לא מבינים מה לא בסדר עם הצמידים של קוקה-קולה, אתם מוזמנים תמיד להראות כמה אתם בעד השחרור של גלעד שליט באפליקציה הזו.
"בהנחה שהוא באמת מאוחסן בצורה לא מוצפנת" – לא עומד ב"מבחן הRFID הסביר".
בדרך כלל מערכת RFID מתוכננת כך שהכרטיס מכיל רק אינדקס (מספר) שמזהה את בעל הכרטיס בפני מערכת המחשב המרכזית, שאיננה חשופה החוצה. שם נמצאים פרטיך ומשם מתבצע הלייק לפייסבוק. אין סיבה להניח שכל קורא כרטיסים על כל מתקן מתקשר עם פייסבוק בעצמו, אז בשביל מה שהפרטים יהיו מאוכסנים על הכרטיס?
כך עובדת כל מערכת בקרת כניסה בסיסית, ולכן אובדן כרטיס איננו בעיה. שכפול הכרטיס או קריאתו יתנו לך יכולת התחזות בפני המערכת של קוקה קולה, לא של פייסבוק.
אין סיבה להניח שקוקה קולה עשו משהו אחר. אם אתה יודע אחרת, זה כבר סיפור אחר.
אוקי, עכשיו קראתי את הכתבה בגלובס. אולי באיחור. אני מקווה שההנחה שלך לא מבוססת על התיאור הפשטני של המערכת בעיתון.
יובל,
בהנחה שהמערכת לא מאחסנת דבר מלבד מספר כרטיס, אז הייתי מניח שאתה צודק. גם אם אז עדיין היתה כאן התרשלות בכך שקוקה-קולה שומרת את הססמא ושם המשתמש במאגר של עצמה.
לא?
נראה לי שאתה מגזים קצת, אני לא יודע איך הם בנו את זה אבל כמעט בטוח שכל מה שיש בכרטיס ה RFID זה סך הכל איזה שהוא ID וזהו, ברגע שאתה מעביר אותו הוא ניגש לבסיס נתונים וכבר שם יש את השם משתמש והסיסמא. ז"א גם אם הצלחת לקרוא את המידע מהכרטיס כל מה שתקבל זה מספר, שללא הבסיס נתונים לא שווה כלום. RFID זה רכיב מאוד זול ומוגבל ולדעתי אין עליו מקום להכיל את שם המשתמש והסיסמא.
כמובן שעל בסיס הנתונים צריך לשמור טוב.
חגי,
אני מסתמך על הסרטון שלהם, שאומר שבתג יש את היוזר והססמא. אם הם היו אומרים שיש מספר מזהה, ושהכל נשמר במסד נתונים, אז היה עניין אחר (שגם אז יש לו השלכות פרטיות, אבל לא נדבר על זה עכשיו).
קלינגר, האצבע שלך היתה מהירה מדי על המקלדת. בשם המלחמה הקדושה בתאגידים יצא לך פוסט שכל קשר בינו לבין המציאות מבוסס על הנחות עבודה מוטעות לחלוטין. אין שום בעיית אבטחת מידע בפרויקט של קוקה קולה ואני במקומך הייתי מוריד מהר את הפוסט הזה ומתנצל שסתם הכפשתי.
דורון,
אני שמח לשמוע שזו דעתך. אבל בסרטון אתם מציינים במפורש שאתם שומרים את השם והססמא של כל הילדים. בינתיים, מה שידוע לי הוא רק מה שאתם סיפרתם, אז אם יש לך משהו אחר, נשמח לשמוע.
זה סרטון שיווקי לא טכנולוגי !! מה אתה רוצה שהם יגידו בסרטון.
Each RFID ID include a special ID, when you pass the card, the system goes to our very super secure database, do "SELECT USER,PASS FROM USERS WHERE RFID = 'RFID' and then use this data to login to Facebook bla bla bla
Come on..
חגי,
בוא נגיד את זה ככה: אם הם היו רק משתמשים בתג לזיהוי, ולא לאימות, הם היו אומרים את זה אחרת ולא מדגישים שעל התג נשמרת הססמא. זה נעשה גם בהודעה לעיתונות לגלובס וגם בכל מקום אחר שהעניין פורסם. עכשיו, אם הם משקרים שם, אז סבבה. אבל אני חושש שהם לא שיקרו בהודעה לעיתונות.
יהונתן
תפסת אותנו! שיקרנו בהודעה לעיתונות. שלח את הניידת.
אמרתי שאם יש לכם משהו אחר לספר, אני אשמח לשמוע. אני מבין שאין לכם.
תראה אני לא קשור לחברה הזאת חוץ מזה שיש לי חבר שעובד שם ואני לא יודע איך זה באמת עובד אבל אפילו מבחינה עסקית, הרבה יותר הגיוני לשמור רק ID פשוט, כי כמו שאני זוכר כרטיס שניתן לכתוב עליו הרבה מידע עולה יותר כסף, תכפיל את זה בכמות האנשים…
חגי,
לכתוב מידע לוקח זמן, אבל לא הרבה מדי זמן. בכל מקרה, שם משתמש וססמא זה בערך 150 – 200 תווים, לא הרבה יותר מדברים אחרים.
יהונתן,
אני מאד מעריך את פועלך וכתיבתך ועוקב אחריך באדיקות, אבל הפעם יצא לך פלופ. תאמין לי שאין שום בעיית פגיעה בפרטיות ושום בעיית אבטחה בפעילות הזו. חשבנו על הכל. מדובר בבני נוער ומדובר בלקוח (קוקה קולה) עם סטנדרטים ורגולציה עצמית מעוררת הערכה שדרש וקיבל פתרון נקי מכל חשש טבל וערלה.
דורון,
אז ספר לנו על הפתרון שלך. כי לפי ההודעה לעיתונות, הסרטון, וכל ראיה אחרת, אתם מאחסנים את הססמא והמייל על הצמיד.
אני מניח שהשבב באמת לא מכיל את שם המשתמש והסיסמה, מכיוון שהפתרון הפשוט יותר הוא גם המאובטח יותר, וזו תהיה טפשות אמיתית מצד מי שתכנן את המערכת הזו להחזיק את הנתונים ישירות על הכרטיס.
השאלה בפוסט צריכה להיות שונה – האם המערכת שומרת במיקום מרכזי כלשהו את כתובות האימייל והססמאות של המשתתפים? לכאורה נראה שכן, משום שהעדכונים מתפרסמים בפרופיל המשתמש כעדכונים מטעמו ולא מטעם אפליקצייה חיצונית, ולמיטב ידיעתי אפליקציות לא יכולות לעשות זאת (אבל אולי אני טועה, עברה שנה מאז הפעם האחרונה שפיתחתי משהו לפייסבוק).
אם הסיסמאות אכן נמצאות בשרת כלשהו זו בעיית פרטיות בפני עצמה. בין אם הן מוצפנות ובין אם לא, למישהו יש גישה לכל הסיסמאות האלה והוא יכול לעשות בהן שימוש לרעה. זו צריכה להיות הנקודה שלך, יהונתן, בהנחה שצדקתי בהשערה שלי.
דור,
ההנחה שלך יכול שתהיה נכונה, ובמקרה כזה אתה צודק: גם בשמירת כל הפרטים (של קטינים) על שרת שהגישה שלו מעורפלת ולא ברור למי יש ולמי אין, ואיך הכל עובד, היא בעיית פרטיות.
אני הלכתי בצורה הפשוטה ביותר: לפי מה שאמרו לי (קרי: התקשורת) והנחתי שהם לא מטומטמים מספיק כדי לשמור מאגר עם הנתונים.
Sorry to crash the party but there is no waynto talk to Facebook with a user and pass. Facebook is using oauth which means the 3rd party app only have a token that can be revoked anytime.
I can hardly believe that something useful can be done with these tokens over time.
העובדה שדורון טל לא יודע להגיד במילים פשוטות מה כן נעשה אומרת דרשני, ואני לא מבין מה יש להתפאר כשאתה משקר בהודעות לעיתונות.
להבדיל מיוסי טיפה קשה לי להאמין שמדובר בoauth (ואם בזה היה מדובר אז לא היתה בעיה) מאחר שאז כל אחד מהילדים היה צריך לאשר באופן ידני את האפליקציה, וקל לו לבטל אותה. אפילו אם כן, יש לי חשד שזה מתבצע במחשב שנמצא באתר שבקלות יכול לאגור את שמות המשתמשים והסיסמאות הנדרשים לזיהוי מול פייסבוק בכדי לאשר את האפליקציה בלי ידיעת הנערים.
אה, ואפילו כשהייתי בגיל המתאים לא חושב שהכרתי/למדתי עם אדם אחד שהיה עשוי לחשוב שזה רעיון מגניב שכל אחד יכול לעקוב אחריך.
מרק ויוסי,
אם זה היה מבוצע בOAuth, תיאורטית הכל היה יכול להיות בסדר. אלא שאז מדובר באפליקציה שעושה את זה, ולא במשהו שמבוצע ישירות. כלומר, כל אחד מהמשתמשים היה צריך גם להתקין אפליקציה של קוקה קולה, וגם לאפשר לה את ההרשאות. וגם אז, ההרשאות בעייתיות במקצת כאן, ודורשות אישור מורחב.
לדעתי המחדל הגדול ביותר שהצלם לא מתעכב מספיק על הבחורות. בני הנוער הולכים שם חשופים לגמרי (רחנמא ליצלן) כאשר הם מצולמים כל הזמן, ואתה חושב שהם יוטרדו ממשהו פעוט כמו הפרטיות שלהם? קוקה קולה מוכרת רעל להמונים, ובני הנוער משתוקקים להנות משרותיה. הם ימכרו כל דבר בשביל עוד תענוג אחד קטן.
נראה לי שהמלחמה על הפרטיות ברשת היא הפסד צרוב מראש. התאגידים מנצלים את המדיות החברתיות בכזו להיטות שאנשים פשוט מוסרים להם הכל. אני מכיר מישהי שאמרה: "אני שמחה לתת לתאגידים כל מידע שיאפשר להם להתאים את השירות שלהם טוב יותר עבורי". לך תילחם בזה.
יוסי ויהונתן,
הם לא משתמשים ב-OAUTH אלא מתחברים ישירות בתור המשתמש עם השם משתמש והסיסמא. אני אומנם לא ראיתי את המערכת בפועל, אבל על סמך מכרזים שהקבלן של המערכת פרסם ב-Rent A Coder ניתן לראות שככה הם תיכננו אותה.
בכל מקרה, אני חושב שמדובר ברעיון מבריק. חבל רק שלא השקיעו עוד קצת בשיפור המימוש (או פנו אלי (-: ).
אריק.
א. בלי oAuth או עם oAuth, כפר "שטיפת מוח" קוקה-קולה גורם לי להקיא.
ב. אני לא רואה סיבה שפייסבוק יתלהבו מהשטות הזאת, ברור שזה רעיון רע בשביל רשת חברתית לחנך את הלקוחות שלה להיות ספאמרים.
ג. למה לעשות ויליג' ישו בארץ זה לא חוקי, אבל לעשות ויליג' קוקה-קולה זה כן?
מה ההבדל הגדול?